Sårbarheter truer i IE og Outlook

Et uavhengig sikkerhetsselskap skal ha funnet to kritiske sårbarheter i Microsofts Internet Explorer og Outlook.

De to sårbarhetene som eEye Digital Security varsler om, skal gjøre det mulig for angripere å kjøre vilkårlig kode på Windows-maskiner ved kun minimal interaksjon fra brukerens side. Sårbarhetene befinner seg i Internet Explorer og Outlook.

eEye har ikke gått ut med mer detaljer om sårbarhetene, men skal ha varslet Microsoft om tilfellene. En talskvinne for Microsoft har bekreftet dette overfor eWeek. Hun sier også at Microsoft ikke kjenner til at de rapporterte sårbarhetene skal ha bli utnyttet. Selskapet er nå i ferd med å avklare hva som eventuelt skal gjøres.

eEye skal ha varslet Microsoft om den første av de to sårbarhetene den 16. mars og fått tilbakemelding om at Microsoft funnet dem virkelige. Marc Maiffret, hackersjef hos eEye, sier til eWeek at han forventer at Microsoft gir disse sårbarhetene høyeste prioritet, men legger ikke skjul på at han mener selskapet ofte er trege med å tette igjen selv alvorlige sikkerhetshull.

- I løpet av de to siste årene, er det blitt dårligere til å utgi patcher innen rimelig tid. Når du bruker flere måneder på å utgi en sikkerhetsfiks til et svært alvorlig hull, lar du kundene dine være utsatt, sier Maiffret. Microsoft hevder på sin side at selskapet er nødt til å bruke mye tid på å sikre kvaliteten til fiksene.

Han mener at faren for et "zero-day attack" er stor. Dette er en betegnelse for at hackere greier utnytte sårbarhetene rett etter, eller i verste fall før, en offentlig annonsering av en sårbarhet i et datasystem blir tilgjengelig.

Advarslene fra eEyes er tilgjengelige fra denne siden.

Til toppen